Hơn một trong mười kho lưu trữ GitHub chia sẻ bằng chứng khai thác có thể chứa một số dạng phần mềm độc hại hoặc nội dung độc hại, khiến các nhà phát triển phần mềm và các nhà nghiên cứu an ninh mạng gặp rất nhiều rủi ro.

GitHub được sử dụng để chia sẻ việc khai thác proof-of-concept (PoC) cho các lỗ hổng khác nhau. Điều đó giúp các nhà nghiên cứu và nhà phát triển xác minh các bản sửa lỗi hiện có và đảm bảo các sản phẩm và thiết bị đầu cuối của họ an toàn trước các sai sót rủi ro.

Một báo cáo từ các nhà nghiên cứu tại Viện Khoa học Máy tính Cao cấp Leiden khi phân tích hàng chục nghìn kho lưu trữ như vậy cho thấy nhiều kho đang phân phối các PoC giả mạo, thay vào đó, chứa phần mềm độc hại.

Trong quá trình thử nghiệm, các nhà nghiên cứu đã phân tích khoảng 47.300 kho lưu trữ tự xưng là PoC cho một lỗ hổng được phát hiện từ năm 2017 đến năm 2021.

Họ đã tham chiếu chéo IP của nhà xuất bản PoC tới các danh sách chặn công khai, VT và AbuseIPDB, chạy kiểm tra VirusTotal trên các tệp thực thi được cung cấp và hashes của chúng, đồng thời giải mã các tệp bị xáo trộn trước khi chạy kiểm tra nhị phân và IP.

Những gì họ tìm thấy là có tổng cộng 4.893 kho chứa độc hại theo cách này hay cách khác. Trong số 150.734 địa chỉ IP duy nhất đã được trích xuất, 2.864 được tìm thấy trên danh sách chặn, 1.522 đã được VirusTotal gắn cờ trước đó và 1.069 được tìm thấy trong cơ sở dữ liệu của AbuseIPDB. Phân tích các tệp nhị phân trên 6.160 tệp thực thi, các nhà nghiên cứu đã tìm thấy 2.164 mẫu độc hại, được lưu trữ trong 1.398 kho lưu trữ.

Nhìn chung, khả năng nhận được phần mềm độc hại thay vì PoC thực tế là khoảng 10,3%, – các nhà nghiên cứu kết luận.